Sdílet prostřednictvím

Správa tajných kódů pro nasazení operací Azure IoT

Operace Azure IoT používají Azure Key Vault jako řešení spravovaného trezoru v cloudu a k synchronizaci tajných kódů z cloudu používá rozšíření Azure Key Vault Secret Store pro Kubernetes a ukládá je na hraničních zařízeních jako tajné kódy Kubernetes. Hraniční prostředky, jako jsou konektory a toky dat, pak můžou tyto tajné kódy použít k ověřování při připojování k externím systémům.

Požadavky

Instance provozu Azure IoT nasazená se zabezpečeným nastavením Pokud jste nasadili operace Azure IoT s testovacím nastavením a teď chcete používat tajné kódy, musíte nejprve povolit zabezpečená nastavení.

Konfigurace oprávnění služby Azure Key Vault

Pokud chce uživatel používat provozní prostředí k vytváření tajných kódů v trezoru klíčů, vyžaduje oprávnění správce tajných kódů služby Key Vault na úrovni prostředků v Azure.

V testovacím nebo vývojovém prostředí použijte následující kroky k přiřazení role Key Vault Secrets Officer vašemu uživateli na úrovni skupiny prostředků, kde jsou nasazeny instance operací Azure IoT a instance Azure Key Vault:

  1. Pokud chcete najít název skupiny prostředků, přejděte do webového uživatelského rozhraní provozního prostředí , přejděte na stránku Instances a vyhledejte instanci azure IoT Operations. Název skupiny prostředků se zobrazí v poli Skupina prostředků .

  2. Přejděte na web Azure Portal a pak přejděte do skupiny prostředků, do které se nasadí vaše instance Azure IoT Operations a instance služby Azure Key Vault.

    Návod

    Pomocí vyhledávacího pole v horní části webu Azure Portal můžete rychle najít skupinu prostředků zadáním názvu.

  3. V nabídce vlevo vyberte Řízení přístupu (IAM ). Pak vyberte + Přidat > přiřazení role.

  4. Na kartě Role vyberte v seznamu rolí správce tajných kódů služby Key Vault a pak vyberte Další.

  5. Na kartě Členové vyberte Uživatel, skupina nebo instanční objekt, vyberte Vybrat členy, vyberte uživatele, kterému chcete přiřadit roli Správce tajemství Key Vault, vyberte Další.

  6. Výběrem možnosti Zkontrolovat a přiřadit dokončete přiřazení role.

V produkčním prostředí postupujte podle osvědčených postupů pro zabezpečení služby Azure Key Vault, kterou používáte s operacemi Azure IoT. Další informace najdete v tématu Osvědčené postupy pro používání služby Azure Key Vault.

Přidání a používání tajných kódů

Správa tajných kódů pro operace Azure IoT používá rozšíření Úložiště tajných kódů k synchronizaci tajných kódů ze služby Azure Key Vault a jejich ukládání na hraničních zařízeních jako tajné kódy Kubernetes. Pokud jste během nasazování povolili zabezpečené nastavení, vybrali jste pro správu tajných kódů službu Azure Key Vault. Nachází se v této službě Key Vault, kde se ukládají všechny tajné kódy, které se mají používat v rámci operací Azure IoT.

Poznámka:

Instance operací Azure IoT pracují pouze s jednou službou Azure Key Vault, více trezorů klíčů na instanci se nepodporuje.

Po dokončení kroků správy tajných kódů můžete začít přidávat tajné kódy do služby Azure Key Vault a synchronizovat je do clusteru Kubernetes, který se má použít v koncových bodech zařízení nebo toku dat pomocí webového uživatelského rozhraní provozního prostředí.

Tajné kódy se používají v zařízeních a koncových bodech toku dat k ověřování. Tato část používá zařízení jako příklad. Stejný proces je možné použít u koncových bodů toku dat. Máte možnost přímo vytvořit tajný klíč ve službě Azure Key Vault a automaticky ho synchronizovat do clusteru nebo použít existující odkaz na tajný kód z trezoru klíčů:

  1. Ve webovém uživatelském rozhraní provozního prostředí přejděte na stránku Zařízení.

  2. Pokud chcete přidat nový odkaz na tajný kód, vyberte Přidat odkaz při vytváření nového zařízení:

    Snímek obrazovky znázorňující přidání ze služby Azure Key Vault a vytvoření nových možností při výběru tajného kódu v provozním prostředí

    • Vytvořte nový tajný klíč: vytvoří v Azure Key Vaultu odkaz na tajný kód a automaticky synchronizuje tajný klíč do clusteru pomocí rozšíření Úložiště tajných kódů. Tuto možnost použijte, pokud jste předem nevytvořili tajný klíč, který pro tento scénář vyžadujete v trezoru klíčů.

    • Přidání ze služby Azure Key Vault: Synchronizuje existující tajný klíč v trezoru klíčů do clusteru, pokud předtím nebyl synchronizován. Výběrem této možnosti se zobrazí seznam tajných odkazů ve vybraném trezoru klíčů. Tuto možnost použijte, pokud jste tajný kód vytvořili v trezoru klíčů předem. Do clusteru se synchronizuje jenom nejnovější verze tajného kódu.

  3. Když na zařízení nebo koncové body toku dat přidáte odkazy na uživatelské jméno a heslo, musíte synchronizovaný tajný klíč pojmenovat. Odkazy na tajné kódy jsou uloženy v clusteru s tímto názvem jako jeden prostředek synchronizace tajných kódů. V příkladu na následujícím snímku obrazovky se odkazy na uživatelské jméno a heslo uloží do clusteru jako edp1secrets.

    Snímek obrazovky znázorňující pole synchronizovaného názvu tajného kódu, když je pro režim ověřování v provozním prostředí vybráno uživatelské heslo

Správa synchronizovaných tajných kódů

Tato část používá zařízení jako příklad. Stejný proces je možné použít u koncových bodů toku dat:

  1. Ve webovém uživatelském rozhraní provozního prostředí přejděte na stránku Zařízení.

  2. Seznam tajných kódů zobrazíte tak, že vyberete Spravovat certifikáty a tajné kódy a pak tajné kódy:

    Snímek obrazovky se seznamem synchronizovaných tajných kódů na stránce s tajnými kódy operačního prostředí

Na stránce Tajné kódy můžete zobrazit synchronizované tajné kódy ve vašich zařízeních a koncových bodech toku dat. Stránka Tajemství zobrazuje seznam všech aktuálních synchronizovaných tajemství na hraničním uzlu pro prostředek, který si prohlížíte. Synchronizovaný tajný klíč představuje jeden nebo více tajných odkazů v závislosti na prostředku, který ho používá. Všechny operace použité u synchronizovaného tajného kódu se použijí na všechny tajné odkazy obsažené v synchronizovaném tajném kódu.

Synchronizované tajné kódy můžete odstranit i na stránce Tajné kódy . Když odstraníte synchronizovaný tajný klíč, odstraní se jenom synchronizovaný tajný klíč z clusteru Kubernetes a neodstraní se z Azure Key Vaultu obsažené odkazy na tajné kódy. Tajný klíč certifikátu musíte odstranit ručně z trezoru klíčů.

Výstraha

Přímé úpravy vlastních prostředků SecretProviderClass a SecretSync v clusteru Kubernetes můžou narušit tok tajemství v provozu služby Azure IoT. Pro všechny operace související s tajnými kódy použijte webové uživatelské rozhraní provozního prostředí.

Před odstraněním synchronizovaného tajného kódu se ujistěte, že se odeberou všechny odkazy na tajný klíč z komponent operací Azure IoT.

  • Last updated on